電腦與手機鑑識-根基於數位證據 (iso/iec dis 27037:2011)•...
TRANSCRIPT
-
楊中皇中華民國資訊安全學會常務理事國立高雄師範大學資訊教育研究所教授http://security.nknu.edu.tw/2012年第1季資訊安全管理系統標準化系列
討論會(2012年1月11日)
電腦與手機鑑識-根基於數位證據 (ISO/IEC DIS 27037:2011)
http://security.nknu.edu.tw/
-
2/50
大綱
數位鑑識
電腦鑑識
手機鑑識
1
2
3
-
3/50
研究動機• 與電腦及網路相關的犯罪與訴訟案件增多
– 2005年UBS Warburg銀行因性別歧視(gender discrimination)被罰US$29.3M
– 2010年個人資料保護法(個資法)• 電腦與手機等數位設備存放隱私資料• 商業鑑識軟體價格昂貴且多為英文界面• 開放原始碼鑑識工具不易使用•
國科會研究計畫–
數位鑑識分析平台之技術研發與建置(2009/08 –
2012/07)
–
雲端運算數位鑑識系統之技術研發與建置(2011/10 –
2012/07)–
15位以上畢業碩士, 30篇以上國內外研討會論文
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
-
4/50
鑑識(Forensics )
• 宋慈(1186 – 1249 ),法醫學之父
• 狄仁傑(630-700),唐朝宰相(大理寺丞)
• 刑事鑑識專家李昌鈺(Henry Lee)博士,http://www.drhenrylee.com/
• CSI犯罪現場 (Crime Scene Investigation)
http://www.drhenrylee.com/
-
5/50
資訊安全研究領域(國科會分類)•
E08180001-對稱金鑰密碼學
(如私密金鑰密碼系統、串流密碼系統、隨機數列、雜湊函數等)•
E08180002-公開金鑰密碼學
(如公開金鑰密碼系統、橢圓曲線密碼系統、多變量密碼系統、雙
線性函數密碼系統、電子簽章等)•
E08180003-密碼分析
(如密碼系統分析、雜湊函數分析等)•
E08180004-密碼演算法•
E08180005-編碼理論
(如代數編碼理論、消息理論、改錯碼等)•
E08180006-量子密碼學
(如量子資訊、量子金鑰分配、量子密碼協定等)•
E08180007-密碼協定
(如身分認證、資料鑑定、智慧卡安全、生物測定、金鑰分配、公開金鑰
基礎建設、多方安全計算、模糊傳輸、機密共享等)•
E08180008-密碼系統應用
(如廣播加密、屬性加密、密文可搜尋式加密、電子錢幣、電子投
票、電子拍賣、電子付款、電子商務、電子政府、電子病歷、雲端計算安全、隱私保護、位址
服務隱私保護等)•
E08180009-系統安全
(如存取控制、資訊流控制、作業系統安全、弱點分析與滲透測試、信賴
計算、資料庫安全、安全軟體工程、實體安全、側通道分析等)•
E08180010-網路安全
(如入侵偵測與防禦、惡意程式碼偵測、無線網路安全、行動網路安全、
感測網路安全、網頁安全、電子信件安全)•
E08180011-數位版權保護及管理
(如軟體保護、資料隱藏、浮水印、公平交換等)•
E08180012-資訊安全管理
(如資訊安全政策、風險分析、資訊安全標準,守則,準則、內部控制
監視與稽核等)•
E08180013-數位犯罪鑑識
(如數位證據取得,保存、數位鑑識流程、鑑識軟體與硬體等)
-
6/50
數位證據 (Digital Evidence)•
probative information stored or transmitted in digital form that a party to a court case may use at trial
(Casey 2004)
•
ISO/IEC DIS 27037: Guidelines for identification, collection and/or acquisition and preservation of digital evidence
•
證據來源–
桌上型電腦與筆記型電腦
–
手機、個人數位助理(PDA)–
可攜式媒體: CD/DVD, USB
disk, tape
–
伺服器: email, instant messaging, database, VoIP–
Third parties: Google Docs, blog, facebook
-
7/50
數位鑑識 (Digital Forensics)
•
以科學的方式採集、保存、分析及呈現數位證據•
可幫助回答電腦與網路案件相關的時間(when)、
內容(what)、相關人員(who)、地點(where)、目 的(why)、如何發生(how)
•
記憶體鑑識、電腦鑑識、網路鑑識、手機鑑識•
Four-Way Linkage Theory [Henry Lee's crime scene handbook, 2001]
-
8/50
數位鑑識流程
EvidenceCollection證據採集
EvidenceAnalysis證據分析
EvidencePresentation
證據呈現
EvidencePreservation
證據保全
證據採集(Evidence Collection/Acquisition):• 電腦與手機的記憶體(RAM)、磁碟機、快閃式記憶體(flash)及其他傳輸媒體與數
位媒體。證據保全(Evidence Preservation):
• 將證據以可靠與可驗證的方式保存,使用密碼學的單向雜湊函數(one-way hash function)。
證據分析(Evidence Analysis):• 例如Skype/MSN/QQ即時通訊內容、電子郵件、手機的簡訊與通聯記錄,GPS定位
資料、相機照片隱藏的時間與地點資料、微軟公司Office文件內藏的作者姓名與修 改日期等。
證據呈現(Evidence Presentation):• 提出鑑識分析後的數位證據,也包含說明文件。
-
9/50
數位鑑識相關法律與規範• Canada’s Uniform Electronic Evidence Act (1998)• USA’s Uniform Rules of Evidence (1999)• California Electronic Discovery Act (2009)• China: (2009)
– 電子物證數據搜索檢驗技術規範– 電子物證文件一致性檢驗技術規範– 電子物證軟體一致性檢驗技術規範– 電子物證軟體功能檢驗技術規範
• ISO/IEC 27037, Guidelines for identification, collection, acquisition and preservation of digital evidence (Draft International Standard).
-
10/50
ISO/IEC 27037
ISO/IEC 27037 (DIS): Guidelines for identification, collection, acquisition and preservation of digital evidence
EvidenceIdentification
EvidenceCollection
EvidenceAcquisition
EvidencePreservation
EvidenceAnalysis
EvidencePresentation
ISO 27037
-
11/50
Evidence collection of powered-on device
資料來源:ISO/IEC 27037
-
12/50
Evidence collection of powered-off device
資料來源:ISO/IEC 27037
-
13/50
Evidence acquisition
of powered-on device
資料來源:ISO/IEC 27037
-
14/50
Evidence acquisition
of powered-off device
資料來源:ISO/IEC 27037
-
15/50
電腦關機後,自RAM復原密鑰
• information in RAMs will persist from several seconds to a minute
• attacks against several disk encryption systems: BitLocker, FileVault, dm-crypt, and TrueCrypt
•
http://citp.princeton.edu/research/memory/
http://citp.princeton.edu/research/memory/
-
16/50
COFEE• Computer Online Forensic Evidence Extractor
(COFEE),http://www.microsoft.com/industry/government/solutions/cofee/• 微軟公司免費提供給國際刑警組織成員• To collect volatile live evidence, such as active
system processes and network data • Installed on a USB flash drive or other external
disk drive, over 150 software commands
• Windows Sysinternals,http://technet.microsoft.com/zh-tw/sysinternals/
http://www.microsoft.com/industry/government/solutions/cofee/http://technet.microsoft.com/zh-tw/sysinternals/
-
17/50
iPhone/Android記錄隱私資料
•
iPhone Tracker•
Android Location Cache
•
Carrier IQ
http://petewarden.github.com/iPhoneTracker/http://www.android-hk.com/applications/location-cache/http://www.washingtonpost.com/business/technology/what-is-carrier-iq/2011/12/01/gIQApql1GO_story.html
-
18/50
電腦鑑識(Computer Forensics)
-
19/50
商業電腦鑑識系統•
EnCase是由Guidance software公司推出,因其功能完整、圖形
化之介面,且該公司提供鑑識之訓練課程,目前為美國最多執法機 構所採用的軟體。
–
http://www.guidancesoftware.com/
•
Forensic Tool Kit (FTK)為Access Data公司之電腦鑑識軟體, 直覺式的操作介面很適合開始接觸電腦鑑識的人員所使用 。
–
http://www.accessdata.com/
EnCase系統畫面 FTK系統畫面
http://www.guidancesoftware.com/
-
20/50
鑑識模式
•
可分為live-analysis及dead-analysis (Carrier, 2003)•
Dead-analysis–
傳統進行電腦鑑識時關閉目標主機,進行證據(記憶體、硬碟)
的收集與分析•
Live-analysis受到重視,目的為收集揮發性資訊–
關閉目標主機的同時,可能會造成揮發性資訊的流失。
–
揮發性資訊:執行中的程序(process)、網路連線狀態、 登入的使用者、開啟的檔案、記憶體使用狀況、即時
通訊記錄、GPS資料等等。
-
21/50
Live CD/DVD/USB
• A live CD/DVD/USB separates the operating system from the computer. Whereas an operating system is usually permanently installed on the computer's hard disk, a live CD is typically designed to boot and run entirely from a read-only medium (such as a CD-ROM).
• Examples of Live CD/DVD– Knoppix – Remastering
• http://www.knoppix.net/– Fedora – Kadischi
• http://fedoraproject.org/wiki/Kadischi– Gentoo – Catalyst
• http://www.gentoo.org/proj/en/releng/catalyst/
http://www.knoppix.net/http://fedoraproject.org/wiki/Kadischihttp://www.gentoo.org/proj/en/releng/catalyst/
-
22/50
Forensic Live CD:
Helixhttp://www.e-fense.com/helix/
http://www.e-fense.com/helix/
-
23/50
Forensic Live CD: cainehttp://www.caine-live.net/
http://www.caine-live.net/
-
24/50
電腦鑑識系統之設計與實現
開機狀態目前只能針對Linux主機
收集揮發性的資料
關機狀態無論Windows或Linux
主機皆可進行Dead-analysis
-
25/50
電腦鑑識系統之開發環境
開發平台 xUbuntu 8.04
主要開發語言Shell ScriptPython 2.5.2
Autopsy-SHA-256
PerlDigest::SHA -
Perl extension for SHA-
1/224/256/384/512
圖形化Python 2.5.2Xdialog 2.3.1
Live DVD Tux2live 1.0.2
-
26/50
揮發性資訊收集指令
資料類別 Unix/Linux 指令
系統時間 date
目前登入的使用者 who
目前開啟的網路連線與埠號 netstat
目前正在執行的程序 ps
目前開啟的檔案 lsof
執行過的指令 history
… …
-
27/50
Live-analysis系統開發
•
自行撰寫Shell Script(log.sh)程式收集揮發性 的資訊,並將所採集的數位證據存入資料庫中, 再以Web的方式程呈現,以方便鑑識人員閱覽及
分析,降低使用的障礙 。
執行log.sh 收集揮發性資訊log.sh
系統時間目前登入的使用者目前開啟的檔案……..
將揮發性資訊存回USB裝置
揮發性資訊
-
28/50
建立揮發性資訊之檔案
資料庫
Web
Python
程式
PHP + MySQL
-
29/50
系統登入失敗鑑識資訊
取自於auth.log
-
30/50
揮發性資訊之 SHA-256值
-
31/50
Dead-analysis 系統開發
•
本系統整合鑑識流程中會使用的鑑識工具於Live DVD/USB中。
•
工具選單包含鑑識工具與安全工具兩大類,又依 鑑識的功能分為三項
–
映像檔製作工具–
分析、還原工具
–
呈現報告•
本研究電腦鑑識系統Live DVD下載網址
http://security.nknu.edu.tw/download/
http://security.nknu.edu.tw/download/
-
32/50
功能選單分類列表
功能項目 說明
映像檔製作 用來製作磁碟映像檔的工具
鑑識分析 針對映像檔還原、分析的工具
鑑識報告 用來產生最後的鑑識報表
資訊收集 對目標電腦系統收集相關資訊的工具
網路探測 用來探測目標電腦的開啟的埠號及服務等的工具
弱點評估 用來探測目標電腦弱點的工具
滲透測試 可針對目標的弱點進行滲透測試的工具
入侵及誘捕 可用來架設誘捕系統的工具
無線網路安全 用來擷取無線網路封包並進行分析的工具
加解密工具 可用於加解密的相關工具
安全程式碼檢測 用來檢測程式碼弱點的工具
其他 密碼破解、病毒檢測等等
-
33/50
Live DVD電腦鑑識工具畫面
-
34/50
本系統鑑識工具清單
映像檔製作工具1. Guymager2. AIR
鑑識工具
1. Autopsy (整合性鑑識工具)2. SFDUMPER (檔案還原)3. Scalpel (檔案還原)4. Foremost (檔案還原)5. Fundl (檔案還原)6. Ddrescue (資料救援) 7. Gddrescue (資料救援) 8. Magicrescue(檔案還原)
-
35/50
中文化-Autopsy
-
36/50
中文化-Autopsy
-
37/50
鑑識報告
-
38/50
手機鑑識(Mobile Phone Forensics)
-
39/50
手機(Android, Symbian)鑑識
• 智慧型手機鑑識數位證據來源:
• 手機有多種作業系統、硬體介面、驅動程式• 我們針對Android手機開發鑑識軟體
-
40/50
手機作業系統
22.1%
11.7%18.2%
1.6%1.9%
43.4%
1.0%
Symbian
RIM
iPhone OS
Windows MobileBada
Android
Source: Gartner, Inc. (August 2011)
http://www.gartner.com/it/page.jsp?id=1764714
-
41/50
Android每月新軟體
Source: AndroidLib
http://www.androlib.com/appstats.aspx
-
42/50
Android Architecture
Source: http://developer.android.com/guide/basics/what-is-android.html
http://developer.android.com/guide/basics/what-is-android.html
-
43/50
手機鑑識方式
雲端
記憶卡執行鑑識
電腦端控制鑑識
雲端控制鑑識
(雛形系統改良中)
(系統開發中)
(系統開發中)
-
44/50
Android手機鑑識系統
•
Java程式語言•
JDK + eclipse
+
Android SDK
免費的開發環境
•
初期參考開放原始碼Android Forensics•
透過Android API及Linux指令建置鑑識系統
•
收集手機的數位證據–
電話通聯記錄、簡訊、通訊錄
–
瀏覽網頁記錄、搜尋記錄–
Email
–
Wi-Fi資料
-
45/50
Android手機鑑識流程
-
46/50
系統實作
http://security.nknu.edu.tw/download/ForenDroid1.0.apk
http://security.nknu.edu.tw/download/ForenDroid1.0.apk
-
47/50
鑑識報告
-
48/50
總結•
鑑識人員在資安事件發生後,須從數位裝置上收集證據
•
鑑識工具也可協助瞭解數位裝備中的個人隱私資料
•
本研究開發中文化開機鑑識DVD與Android手機鑑識軟體,持 續進行手機(反)鑑識軟體與雲端鑑識軟體
•
雛型軟體參見http://security.nknu.edu.tw/download/
•
ISO/IEC (early draft)–
27041: Assurance for digital evidence investigation methods
–
27042: Analysis and interpretation of digital evidence –
27043: Digital evidence investigation principles and processes
http://security.nknu.edu.tw/download/
-
49/50
References1. E. Casey (ed.), Handbook of Digital Forensics and Investigation,
Academic Press, 2010.2. J.M. Aquilina, E. Casey, and C.H. Malin, Malware Forensics:
Investigating and Analyzing Malicious Code, Syngress, 2008.3. T.V. Lillard, C.P. Garrison, C.A. Schiller, and J.J. Steele, Digital
Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data, Syngress, 2010.
4. S. Garfinkel, "Digital Forensics Research: The Next 10 Years,”10th Digital Forensics Research Conference, August 2010, http://www.dfrws.org/2010/proceedings/2010-308.pdf
http://www.dfrws.org/2010/proceedings/2010-308.pdf
-
敬請批評指教
電腦與手機鑑識-根基於數位證據(ISO/IEC DIS 27037:2011)大綱研究動機鑑識(Forensics )資訊安全研究領域(國科會分類)數位證據 (Digital Evidence)數位鑑識 (Digital Forensics)數位鑑識流程數位鑑識相關法律與規範ISO/IEC 27037Evidence collection of powered-on deviceEvidence collection of powered-off deviceEvidence acquisition of powered-on deviceEvidence acquisition of powered-off device電腦關機後,自RAM復原密鑰COFEEiPhone/Android記錄隱私資料投影片編號 18商業電腦鑑識系統鑑識模式Live CD/DVD/USBForensic Live CD: HelixForensic Live CD: caine電腦鑑識系統之設計與實現電腦鑑識系統之開發環境揮發性資訊收集指令 Live-analysis系統開發建立揮發性資訊之檔案系統登入失敗鑑識資訊揮發性資訊之 SHA-256值Dead-analysis 系統開發 功能選單分類列表 Live DVD電腦鑑識工具畫面本系統鑑識工具清單中文化-Autopsy中文化-Autopsy鑑識報告投影片編號 38手機(Android, Symbian)鑑識手機作業系統Android每月新軟體Android Architecture手機鑑識方式Android手機鑑識系統Android手機鑑識流程系統實作鑑識報告總結References敬請批評指教